Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar el conector de Secure Edge con Juniper Secure Edge (aprovisionamiento manual)

Siga este flujo de trabajo para obtener ayuda con cada paso del flujo de trabajo para aprovisionar manualmente Juniper® Secure Edge.

La nube Juniper Mist™ funciona con Juniper® Secure Edge para realizar inspecciones de tráfico desde dispositivos perimetrales mediante la función de conector Secure Edge. Esta función permite que los enrutadores de Juniper® Session Smart™, desplegados como dispositivos de borde WAN, envíen una parte del tráfico a Juniper Secure Edge para una inspección.

Todas las capacidades de Secure Edge son administradas por Juniper Security Director Cloud, la experiencia de administración simple y sin problemas de Juniper que se ofrece en una sola interfaz de usuario (UI).

Para obtener más información, consulte Juniper Secure Edge.

Descripción general de la configuración

En esta tarea, se envía el tráfico enlazado a Internet desde el lado LAN de un dispositivo radial o concentrador a Secure Edge para una inspección antes de que el tráfico llegue a Internet.

Para que Secure Edge realice una inspección de tráfico:

  • En Juniper Security Director Cloud, cree y configure las ubicaciones de servicio, los perfiles IPsec, los sitios y las políticas para Secure Edge. Estos son los recursos basados en la nube que proporcionan servicios de seguridad y conectividad para los dispositivos de borde WAN.

  • En la nube de Mist, cree y configure los dispositivos de borde WAN (enrutadores de Session Smart o firewalls de la serie SRX) que se conectan a las redes LAN. Estos son los dispositivos físicos que proporcionan capacidades de enrutamiento, conmutación y SD-WAN para las sucursales o campus.

  • En Mist WAN-Edge, cree y configure los túneles de Secure Edge que conectan los dispositivos de borde WAN con las ubicaciones de servicio. Estos son los túneles IPsec que proporcionan un transporte seguro y confiable para el tráfico que Secure Edge debe inspeccionar.

  • En la nube de Mist, asigne los túneles de Secure Edge a los sitios o perfiles de dispositivo que correspondan a los dispositivos de borde WAN. Esto permite que el tráfico se dirija desde las redes LAN a la nube Secure Edge en función de las políticas de datos definidas y otros criterios de coincidencia.

En los temas de la tabla siguiente se presenta la información general que necesita para usar la seguridad basada en la nube de Secure Edge con la nube de Juniper Mist™.

Tabla 1: Flujo de trabajo de configuración del conector Secure Edge
Paso Tarea Descripción
1 Acceda a Juniper Security Director Cloud y compruebe las suscripciones activas Acceda a Juniper Security Director Cloud, vaya a la cuenta de su organización y compruebe las suscripciones de Secure Edge. La suscripción le da derecho a configurar servicios Secure Edge para sus despliegues.
2 Configurar una ubicación de servicio en la nube de Juniper Security Director

Crear ubicaciones de servicio. Aquí es donde las puertas de enlace VPN basadas en vSRX crean conexiones seguras entre diferentes redes.
3 Generar certificados de dispositivo en Juniper Security Director Cloud Genere certificados digitales para Juniper Secure Edge a fin de establecer comunicaciones seguras entre Secure Edge y los puntos finales de usuario.
4 Crear un perfil IPsec en Juniper Security Director Cloud Cree perfiles IPsec para establecer túneles IPsec para la comunicación entre los dispositivos de borde WAN en su red en la nube de Juniper Mist con instancia de Secure Edge.
5 Crear un sitio en Juniper Security Director Cloud Cree un sitio que aloje un dispositivo de borde WAN (enrutador con Session Smart o firewall de la serie SRX). El tráfico del dispositivo se reenvía a la instancia de Secure Edge a través de un túnel seguro para una inspección.
6 Implemente una política de borde seguro en la nube de Juniper Security Director Configure políticas que definan las reglas y acciones de seguridad para el tráfico que se origina en el sitio o que se destina a él.
7 Obtenga parámetros de configuración de túnel IPsec para aplicar en Juniper Security Director Cloud Anote los detalles, como la dirección IP o el nombre de host de la ubicación del servicio, el nombre del perfil IPsec y la clave previamente compartida. Necesita estos detalles para configurar túneles IPsec desde el lado de Juniper Mist.
8 Cree conectores de borde seguros en el portal de la nube de Juniper Mist Cree conectores de Secure Edge en el portal de la nube de Juniper Mist. Esta tarea completa la configuración en el lado de nube de Mist de los túneles para establecer un túnel IPsec entre el dispositivo de borde WAN administrado por Mist y la instancia de Secure Edge.
9 Modificar una directiva de aplicación Cree una política de aplicación nueva o cambie una existente para dirigir el tráfico desde el dispositivo perimetral WAN a Internet a través de Juniper Security Director Cloud en lugar de pasar por un concentrador para obtener acceso centralizado.
10 Verificar la configuración Confirme si su configuración funciona comprobando los túneles IPsec establecidos en:
  • WAN Insights en el portal de Mist
  • Panel de control de Security Director Cloud
  • Flujo de tráfico de túnel en la CLI del dispositivo perimetral WAN.

Antes de empezar

Acceda a Juniper Security Director Cloud y compruebe las suscripciones activas

Un inquilino en Juniper Secure Edge es una cuenta de organización que se crea para acceder al portal de Juniper Security Director Cloud y administrar sus servicios de Secure Edge. Un inquilino está asociado a una dirección de correo electrónico única y a un plan de suscripción. Un inquilino puede tener varias ubicaciones de servicio, que son puertas de enlace VPN basadas en vSRX alojadas en una nube pública para su organización.

Un inquilino puede tener una o varias ubicaciones de servicio, que son los puntos de conexión para los usuarios finales. Para crear un inquilino, debe tener una cuenta en Juniper Security Director Cloud. Consulte Creación del inquilino de Secure Edge para obtener más información.

Después de crear su inquilino de Secure Edge en el portal de Juniper Security Director Cloud, acceda al portal y compruebe sus suscripciones.

Para acceder a Juniper Security Director Cloud y comprobar las suscripciones activas:

  1. Abra la URL de Juniper Security Director Cloud. Ingrese su dirección de correo electrónico y contraseña para iniciar sesión y comenzar a usar el portal de Juniper Security Director Cloud.
  2. Seleccione el inquilino necesario en la esquina superior derecha del portal para continuar.
  3. Seleccione Administración > Suscripciones para acceder a la página Suscripciones de Juniper Security Director Cloud.
  4. Desplácese hasta la sección Suscripciones de Secure Edge para comprobar si tiene una suscripción activa.
    Nota: No es necesario que haga clic en la ficha Suscripción de administración SRX, incluso si utiliza un firewall de la serie SRX de Juniper Networks®. En esta tarea, no utiliza Juniper Security Director Cloud para administrar dispositivos de borde WAN.

    Para obtener más información, consulte Acerca de la página Suscripciones.

    Suponiendo que tiene suscripciones activas, continúe con los pasos siguientes.

Configurar ubicaciones de servicio

Después de asegurarse de que tiene una licencia activa para Juniper Security Director Cloud, configure una ubicación de servicio. Este paso es la primera tarea principal para configurar un conector Secure Edge para enrutadores de Session Smart.

Una ubicación de servicio en Juniper Security Director Cloud también se conoce como POP (punto de presencia) y representa una instancia de Juniper® Secure Edge en una ubicación de nube. La ubicación del servicio es el punto de conexión (acceso) para los usuarios locales y móviles.

Las ubicaciones de servicio son lugares donde vSRX crea conexiones seguras entre diferentes redes mediante un servicio de nube pública. La dirección IP pública (única por inquilino y ubicación de servicio) se usa para:

  • Configure un túnel IPsec entre el dispositivo de sucursal y Juniper Security Director Cloud.

  • Distribuya centralmente el tráfico cuando el destino esté en Internet.

Para configurar una ubicación de servicio en Juniper Security Director Cloud:

  1. En el menú Juniper Security Director Cloud, seleccione Secure Edge >Service Management>Service Locations.

    Aparecerá la página Ubicaciones de servicio.

  2. Haga clic en el icono Agregar (+) para crear una nueva ubicación de servicio.
    Introduzca los detalles de los campos siguientes:

    • Región: elija la región geográfica en la que desea crear una instancia de Secure Edge.

    • PoP: seleccione la ubicación del borde seguro en la región.

    • Número de usuarios: especifique el número total posible de usuarios que esta ubicación de servicio puede necesitar servir.

    de
    Tabla 2: Campos de ubicación de servicio
    Ubicación del servicioubicación del servicio de campo
    Región América del Norte América del Norte
    Pop Ohio Oregón
    Número de usuarios 50 (dividimos la salida por igual) 50
  3. Haga clic en Aceptar.

    Security Director Cloud crea una ubicación de servicio y la enumera en la página Ubicaciones de servicio.

    El estado de la ubicación de servicio muestra En curso hasta que la instancia de Secure Edge se implemente por completo.

    Cuando se crea una ubicación de servicio, el sistema inicia la implementación de dos instancias de vSRX como puertas de enlace VPN para el sistema de inquilinos. En esta implementación, las instancias de vSRX no se comparten con otros inquilinos.

Generar certificados de dispositivo en Juniper Security Director Cloud

Ahora que ha configurado las ubicaciones de servicio en Juniper Security Director Cloud, puede generar certificados de dispositivo para proteger el tráfico de red.

Utilice un certificado TLS/SSL (Transport Layer Security/Secure Sockets Layer) para establecer comunicaciones seguras entre Secure Edge y dispositivos de borde WAN. Todos los exploradores cliente de su red deben confiar en los certificados firmados por Juniper Networks y los firewalls de la serie SRX para usar un proxy SSL.

En Juniper Security Director Cloud, tiene las siguientes opciones para generar certificados:

  • Cree una nueva solicitud de firma de certificado (CSR) y su propia entidad de certificación (CA) puede usar la CSR para generar un nuevo certificado.

  • Seleccione la opción para que Juniper Networks cree un certificado.

Nota:

En este tema se describe cómo generar un certificado TLS/SSL. La forma de importar y usar el certificado depende de los requisitos de administración de clientes de su empresa y está fuera del ámbito de este tema.

Para generar certificados de dispositivo en Juniper Security Director Cloud:

  1. Seleccione Administración de Secure Edge>Service Administration>Administración de certificados.

    Aparecerá la página Administración de certificados.

    En la lista Generar , puede generar una nueva solicitud de firma de certificado (CSR) o un certificado emitido por Juniper.

  2. Seleccione la opción correspondiente:
    1. Si su empresa tiene su propia CA y desea generar una CSR, haga clic en Solicitud de firma de certificado.

      Después de que Juniper Secure Edge genere CSR, descargue la CSR y envíela a su CA para generar un nuevo certificado. Una vez generado, haga clic en Cargar para cargar el certificado en la página Administración de certificados.

    2. Si su empresa no tiene su propia CA, haga clic en Certificado emitido por Juniper y, a continuación, haga clic en Generar para generar el certificado. Juniper Networks generará y mantendrá el certificado en el sistema.
      En esta tarea, seleccione el certificado emitido por Juniper y continúe con el paso siguiente.
  3. Introduzca los detalles del certificado. En el campo Nombre común, use el nombre de dominio completo (FQDN) del certificado.

    La página Administración de certificados se abre con un mensaje que indica que el certificado se ha creado correctamente.

  4. Descargue el certificado generado.

    En el ejemplo siguiente se muestra el certificado descargado:

    Después de descargar el certificado en el sistema, agréguelo a los exploradores cliente.

Crear un perfil IPsec en Juniper Security Director Cloud

Después de generar los certificados para establecer comunicaciones seguras entre Secure Edge y los dispositivos de borde WAN, estará listo para crear perfiles IPsec.

Los perfiles IPsec definen los parámetros con los que se establece un túnel IPsec cuando los dispositivos de borde WAN de la red en la nube de Juniper Mist™ comienzan a comunicarse con la instancia de Secure Edge.

Para crear un perfil IPsec en Juniper Security Director Cloud:

  1. En el portal de Juniper Security Director Cloud, seleccione Perfiles IPsec de Secure Edge > Service Management > .
  2. Haga clic en el icono Agregar (+) para crear un perfil IPsec.
    Aparecerá la página Crear perfil IPsec.
  3. Para el nombre de perfil, utilice default-ipsec. Conservar todos los valores predeterminados para Intercambio de claves por Internet (IKE) e IPsec; actualmente, no se pueden configurar en el portal de la nube de Juniper Mist.

    Utilice este perfil IPsec para crear un sitio en la siguiente tarea. En la página Crear sitio, si selecciona IPsec como tipo de túnel en la ficha Reenvío de tráfico, adjuntará el perfil IPsec.

Crear un sitio en Juniper Secure Edge Cloud

Ahora ha creado perfiles IPsec. Estos perfiles definen los parámetros del túnel IPsec entre los dispositivos de borde WAN en la red en la nube de Juniper Mist™ y la instancia de Secure Edge.

En este punto, debe crear un sitio en Juniper Security Director Cloud. Un sitio representa una ubicación que aloja un dispositivo perimetral WAN. El tráfico del dispositivo de borde WAN se reenvía a la instancia de Secure Edge a través de un túnel seguro y, a continuación, los servicios en la nube de Secure Edge lo inspeccionan y aplican.

Puede configurar para reenviar parte o todo el tráfico vinculado a Internet desde los sitios del cliente a la nube de Juniper Secure Edge a través de túneles de encapsulación de enrutamiento genérico (GRE) o IPsec desde los dispositivos de borde WAN en el sitio.

Nota:

Las direcciones de sucursal superpuestas no son compatibles con el mismo POP dentro de Secure Edge cuando se usa un firewall de estado en ubicaciones de sucursal. El tráfico de ruta inversa a estas IP superpuestas se enrutará utilizando múltiples rutas de igual costo (ECMP) en todas las conexiones. El tráfico se enruta mediante ECMP en lugar de enrutamiento por sesión a la interfaz desde la que se originó el tráfico. Tenga en cuenta el tráfico de ruta inversa a través de ECMP cuando configure las redes protegidas para un sitio.

Para crear un sitio en Juniper Security Director Cloud:

  1. En el portal de Juniper Security Director Cloud, seleccione Secure Edge >Service Management > Sites.
  2. Haga clic en el icono más (+) para crear un sitio.
  3. Introduzca la configuración:

    • Introduzca un nombre de sitio único y una descripción.

    • Seleccione el país correspondiente de la lista donde se encuentra el sitio.

    • (Opcional) Ingrese el código postal donde se encuentra la sucursal del cliente.

    • (Opcional) Introduzca la ubicación (dirección) del sitio.

    • Seleccione el número de usuarios que pueden usar la red en el sitio.

    • En el campo Redes protegidas, haga clic en el icono Agregar (+) para agregar el intervalo de direcciones IP privadas de la interfaz que se utilizará para el flujo de tráfico a través del túnel.

    En este ejemplo, se muestra un sitio en Juniper Secure Edge Cloud.

    Esta tabla proporciona más información.

    Tabla 3: Detalles de creación del sitio
    Valores de campos
    Ubicación de servicio principal JSEC-Oregón
    Ubicación de servicio secundario JSEC-OHIO
    Número de usuarios 10
    Nombre spoke1-sitio
    País Alemania
    Redes protegidas 10.99.99.0/24 (red LAN)
  4. Haga clic en Siguiente.
  5. En la página Reenvío de tráfico, introduzca la configuración.
    Tabla 4: Detalles de la política de reenvío de tráfico
    Valor del campo
    Tipo de túnel IPsec
    Tipo de dirección IP Dinámico

    Para el tipo de dirección IP estática, debe proporcionar la dirección IP del dispositivo en el campo Dirección IP del sitio.
    Perfil IPsec ipsec predeterminado

    Si no tiene un perfil IPsec preconfigurado, haga clic en Crear perfil IPsec para crear un perfil IPsec.
    Clave precompartida

    Defina un PSK único para cada sitio. Ejemplo: Juniper!1
    IKE ID site1@example.com (se asemeja a una dirección de correo electrónico y debe ser un valor único para cada sitio).
  6. Haga clic en Siguiente.
  7. En la página Configuración del sitio, en Tipo de dispositivo, seleccione Dispositivo que no es de Juniper.

    Debe seleccionar esta opción porque los dispositivos que administra el portal de nube de Juniper Mist no tienen su configuración insertada a través de Juniper Security Director Cloud.

  8. Haga clic en Siguiente.
  9. En la página Resumen, revise la configuración.
  10. Haga clic en Atrás para editar los campos o en Finalizar para crear el nuevo sitio.
  11. Agregue dos sitios más mediante el mismo procedimiento. En los párrafos siguientes se describen los detalles que se deben incluir en cada sitio.
    1. Cree un segundo sitio con los detalles que se proporcionan a continuación.
      Tabla 5: Creación del sitio para el segundo sitio
      Valor de los campos
      Ubicación de servicio principal JSEC-Oregón
      Ubicación de servicio secundario JSEC-Oregón
      Número de usuarios 10
      Nombre spoke2-sitio
      País Alemania
      Redes protegidas 10.88.88.0/24 (red LAN)
      Tabla 6: Reenvío de tráfico para el segundo sitio
      Valor del campo
      Tipo de túnel IPsec
      Tipo de dirección IP Dinámico
      Perfil IPsec ipsec predeterminado
      Clave precompartida

      Defina un PSK único para cada sitio. Ejemplo: Juniper!1
      IKE ID site2@example.com (se asemeja a una dirección de correo electrónico y debe ser un valor único para cada sitio).
    2. Seleccione Tipo de dispositivo=Dispositivo no Juniper .
    3. Cree un tercer sitio con los detalles que se proporcionan a continuación.
      Tabla 7: Crear un tercer sitio: detalles del sitio
      Valor de los campos
      Ubicación de servicio principal JSEC-Oregón
      Ubicación de servicio secundario JSEC-OHIO
      Número de usuarios 10
      Nombre spoke3-sitio
      País Alemania
      Redes protegidas 10.77.77.0/24 (red LAN)
      Tabla 8: Crear un tercer sitio: detalles del reenvío de tráfico
      Valor del campo
      Tipo de túnel IPsec
      Tipo de dirección IP Dinámico
      Perfil IPsec ipsec predeterminado
      Clave precompartida

      Defina un PSK único para cada sitio. Ejemplo: Juniper!1
      IKE ID site3@example.com (Se asemeja a una dirección de correo electrónico y debe ser un valor único para cada sitio).
    4. Seleccione Tipo de dispositivo=Dispositivo no Juniper .
  12. Revise la página Resumen. Modifique las entradas incorrectas.
    La figura 1 muestra la lista de sitios que ha creado.
    Figura 1: Resumen de sitios Summary of Created Sites creados

Implemente una política de borde seguro en la nube de Juniper Security Director

Ahora que ha creado sitios en Juniper Security Director Cloud, es hora de implementar una o varias políticas de Juniper® Secure Edge.

Las políticas de Secure Edge especifican cómo la red enruta el tráfico. De forma predeterminada, cuando se crea un nuevo inquilino, Security Director Cloud crea un conjunto de reglas de política de Secure Edge con reglas predefinidas.

Nota:

Incluso si no cambia el conjunto de reglas predeterminado, debe usar la opción Implementar para cargar las reglas en las ubicaciones de servicio.

Para implementar una política de borde seguro en Juniper Security Director Cloud:

  1. En el portal de Juniper Security Director Cloud, haga clic en Borde seguro > Políticas de seguridad.

    Aparecerá una página de política de Secure Edge con reglas predeterminadas. Modificar el conjunto de directivas de seguridad predeterminadas para una mejor depuración. El conjunto de reglas predeterminado no permite pings ICMP al exterior (Internet), lo que le impide hacer ping a cualquier cosa a través de la nube.

  2. Haga clic en el icono Agregar (+) para crear una regla, o seleccione la regla existente y haga clic en el icono de lápiz para editar la regla.
  3. Asigne a la nueva regla la regla Name=Allow-ICMP.
  4. Haga clic en Agregar (+) para agregar orígenes.
    En Orígenes, use los siguientes valores predeterminados:

    • Direcciones=Cualquiera

    • Grupos de usuarios=Cualquiera

  5. Haga clic en Agregar (+) para agregar destinos.
    En Destinos, en Direcciones, use el valor predeterminado =Any.
  6. En Aplicaciones o servicios, configure los siguientes valores:

    • Aplicaciones=Cualquiera

    • Servicios=Específico (a través de búsqueda)

    • Servicio específico = icmp-all

    Con la flecha derecha (>), mueva service =icmp-all específico al panel derecho para activarlo antes de hacer clic en Aceptar.

  7. Configure Action=Permit y conserve los valores predeterminados para los campos restantes.

    El sistema coloca la nueva regla en la parte inferior de la lista de reglas y la trata como la última regla del conjunto de reglas. Si la regla se coloca después de una regla global (que niega todo el tráfico), nunca se aplicará, porque la regla global detiene todo el tráfico posterior. Por lo tanto, para este ejemplo se cambia la posición de la regla seleccionándola. A continuación, utilice las opciones Mover > Mover > Mover parte superior para mover la regla seleccionada a la parte superior del conjunto de reglas. Mover la regla a la parte superior del conjunto de reglas garantiza que el sistema aplique esta regla primero.

    Nota:

    Siempre que modifique un conjunto de reglas, asegúrese de usar el botón Implementar para completar la tarea. De lo contrario, las ubicaciones de servicio seguirán usando los conjuntos de reglas obsoletos.

  8. Haga clic en Implementar.
  9. En la página Implementar, active la opción Ejecutar ahora y haga clic en Aceptar.

    Las ubicaciones de servicio obtienen el conjunto de reglas actualizado después de unos minutos.

  10. Seleccione Administración > Trabajos para ver el estado y el progreso del trabajo implementado.

Obtenga parámetros de configuración de túnel IPsec para aplicar en Juniper Security Director Cloud

En las tareas anteriores, completó varias acciones para configurar túneles IPsec en Juniper Secure Edge y desplegó la política de Secure Edge en Juniper Security Director Cloud. El último paso en Security Director Cloud es recopilar datos de configuración para cada sitio. Necesitará estos detalles para completar la configuración del conector de borde seguro (Crear conectores de borde seguros en el portal de Juniper Mist) en la nube de Juniper Mist™ para configurar un túnel IPsec. En este paso, anotará los detalles de los sitios que creó.

Nota:

No está disponible una inserción de configuración automatizada para sincronizar entre Juniper Security Director Cloud y Juniper Mist cloud.

Para obtener parámetros de configuración de túnel IPsec para aplicar en Juniper Security Director Cloud:

  1. En el portal de Juniper Security Director Cloud, seleccione Secure Edge >Service Management > Sites.
    Se abre la página Sitio, que muestra los detalles del sitio implementado.
  2. Para cada sitio radial, haga clic en la opción Configuración del túnel en Estado desplegado y, a continuación, consulte la ficha Dispositivo administrado de MIST para obtener información.

    Anote los siguientes detalles, que usará en Crear conectores de borde seguro en el portal de Juniper Mist:

    • Clave precompartida

    • Local ID

    • Dirección IP e ID remoto de cada túnel de ubicación de servicio

    Los siguientes ejemplos muestran información extraída para los tres sitios que creó en Crear un sitio en Juniper Secure Edge Cloud:

    El siguiente ejemplo es de la información extraída para site2:

    El siguiente ejemplo es de la información extraída para el sitio3:

    Necesitará estos detalles del sitio cuando configure túneles en el portal de nube de Mist.

Cree conectores de borde seguros en Juniper Mist Portal

Está a mitad de camino hacia su objetivo final de configurar un conector Secure Edge para los enrutadores Session Smart o los firewalls serie SRX en Juniper Mist™.

Los conectores de Secure Edge se crean en el portal de Juniper Mist. Esta tarea completa la configuración en el lado de la nube de Mist de los túneles para establecer un túnel IPsec entre los dispositivos de borde WAN administrados por Mist y Security Director Cloud. Antes de crear los conectores, asegúrese de que el sitio tenga un dispositivo perimetral WAN implementado.

Para crear conectores de Secure Edge en el portal de Juniper Mist:

  1. En el menú de la izquierda, haga clic en Bordes de WAN.

    La página Bordes de WAN muestra los detalles del sitio.

  2. Haga clic en el dispositivo y desplácese hacia abajo hasta Conectores de borde seguro.
  3. En el panel Conectores perimetrales seguros, haga clic en Agregar proveedor.
  4. Introduzca los detalles del conector de Secure Edge.
    Nota:

    Recuerde que estos son los mismos detalles que recopiló en Obtener parámetros de configuración de túnel IPsec para aplicar en la nube de Juniper Security Director.
    Tabla 9: Detalles del conector Secure Edge
    Valor del campo
    Nombre Sitio1 a SDCLOUD
    Proveedor Juniper Secure Edge
    Local ID site1@example.com
    Clave precompartida Juniper!1 (ejemplo)
    Primario
    IP o nombre de host <Dirección IP> (de la configuración del túnel de Juniper Security Director Cloud)
    IP de sondeo -
    ID remoto <UUID>.jsec-gen.juniper.net (de Juniper Security Director Cloud tunnel configuration)
    Interfaz WAN

    • WAN0=INET

    • WAN1=MPLS
    Secundario
    IP o nombre de host <Dirección IP> desde (De Juniper Security Director Configuración del túnel en la nube)
    IP de sondeo -
    ID remoto <UUID>.jsec-gen.juniper.net (de Juniper Security Director Cloud tunnel configuration)
    Interfaz WAN

    • WAN0=INET

    • WAN1=MPLS
    Modo Activo en espera
    Nota:

    No es necesario introducir los valores de IP de la sonda. Los túneles IPsec no necesitan supervisión adicional como GRE.
    Nota:

    No habilite las IP de sondeo ICMP para la configuración de Secure Edge basada en el enrutador de Session Smart. Las sondas ICMP se obtendrán de una dirección IP no enrutable hacia el borde seguro y se descartarán debido a la política. Además, si las direcciones de origen se superponen en todas las ramas, no se admite el enrutamiento a más de una sucursal con una dirección IP de sondeo.
    Nota:

    El sistema genera automáticamente descripciones de texto, aplicaciones y correos electrónicos.
  5. Compruebe que el portal de nube de Mist haya agregado el conector de Secure Edge que acaba de configurar.
  6. Agregue una nueva ruta de dirección de tráfico en la plantilla de borde de WAN o en el dispositivo de borde de WAN.
    Tabla 10: Configuración de la ruta de dirección del tráfico
    Valor de los campos
    Nombre Nube
    Estrategia Ordenado
    Caminos Seleccione el tipo y el destino
    Tipo Conector de borde seguro
    Proveedor Juniper Secure Edge
    Nombre Sitio1 a SDCLOUD

Modificar una directiva de aplicación

Después de crear conectores Secure Edge en el portal de la nube de Juniper Mist™, el siguiente paso es modificar las políticas de aplicación en el dispositivo de sucursal. Por ejemplo, puede permitir el tráfico de un dispositivo radial a un dispositivo concentrador. También puede permitir el tráfico de un dispositivo radial a otro dispositivo radial en el túnel VPN. Después de eso, puede enviar tráfico desde radios a Internet a través de Juniper Security Director Cloud en lugar de enviar tráfico desde radios a un concentrador para una ruptura central.

Siga estos pasos para confirmar si la configuración funciona:

  1. Agregue o edite una política de aplicación en la página de la plantilla de borde de WAN o en la página del dispositivo de borde de WAN.
  2. Seleccione la directiva que desea modificar y aplique los cambios.

    Si está creando políticas desde la página del dispositivo de borde WAN, puede seleccionar la opción Anular configuración de plantilla según el requisito.

    • En la directiva de aplicación, puede incluir la dirección de tráfico que creó en el paso anterior. En este ejemplo, cambie la dirección de tráfico a nube en la última regla (Internet-via-cloud-CBO).

  3. Guarde los cambios.
    La nube de Juniper Mist crea nuevos túneles a Juniper Security Director Cloud.

Verificar la configuración

Después de modificar la directiva de la aplicación, ahora es el momento de confirmar que la configuración funciona como se esperaba. Una vez guardada la configuración deseada, puede verificar si la nube de Juniper Mist enruta el tráfico con destino a Internet desde los radios a Juniper Security Director Cloud en lugar de enrutarlo a un concentrador para obtener una conexión central.

Para verificar la configuración:

  1. (Opcional) En función de su entorno, puede ver la comunicación del túnel IPsec hacia Juniper Security Director Cloud en la CLI.

    Verifique los detalles de los túneles establecidos WAN Insights del dispositivo en el portal de nube de Juniper Mist.

    También puede consultar los túneles establecidos en el panel de control de Juniper Security Director Cloud y en la ubicación del servicio.
  2. Compruebe el nuevo flujo de tráfico mediante un escritorio de VM conectado al dispositivo de sucursal. Puede comprobar el flujo de tráfico mediante pings a Internet.
    Nota:

    Puede experimentar latencia dependiendo de la distancia física entre el dispositivo perimetral WAN y la ubicación del servicio Juniper Secure Edge.
  3. Abra un explorador en el escritorio de una máquina virtual y navegue hasta https://whatismyipaddress.com/ para ver detalles sobre la dirección IP de origen utilizada para enrutar el tráfico de red de Juniper Mist desde una ubicación de servicio hacia Internet.

    En este ejemplo se muestra el tráfico desde una ubicación de servicio principal.

    En este ejemplo se muestra el tráfico desde una ubicación de servicio secundaria.

    Una de las dos direcciones IP de la ubicación de servicio es una dirección IP pública y sirve para dos propósitos:

    • Finaliza el túnel IPsec

    • Enruta el tráfico de los dispositivos de sucursal a Internet a través de Juniper Security Director Cloud

    Puede ver esta misma dirección IP pública en las capturas de paquetes que muestran el túnel establecido a la ubicación del servicio mediante Juniper Security Director Cloud. Consulte Verificar la configuración.

    Recuerde que una ubicación de servicio en Juniper Security Director Cloud también se conoce como POP y representa una instancia de Juniper® Secure Edge en una ubicación de nube. La ubicación del servicio es el punto de conexión (acceso) para los usuarios locales y móviles.